思科域名的分类
域名的分类 时间:2021-01-18 阅读:()
DavidLi李勇卫思科资深安全架构师Date201903思科助力企业安全可视化建设信息可视化监控检测分析定位网络主体用户终端系统服务行为软件网址应用文件流量位置时间哪年哪月几点几分哪个交换机哪个端口哪个楼层哪个座位社交媒体购物网站微博微信病毒广播风暴泛洪哪个部门的哪个人PCWindows7LinuxFTPDHCPJavaIE漏洞属性BashHeartbeat网络可视化的作用网络安全及稳定性问题通常来自于网络接入的主体为什么要网络安全可视化-工欲善其事,必先利其器层次覆盖协作开放呈现自动可视分析能力应用能力安全可视化建设六大要素不同产品配合、分享、决策执行获得更广的视角覆盖网内每个用户、每个端口、每次访问主机内每一个进程的每次操作解决方案跨越主机、接入、通讯、边界各个层次对外更多分享数据、更多的分享接口与应用系统的信息整合全面的、可分析、可衡量的态势呈现层次化、分级别的表现方式策略编排、处置自动、分析智能第一阶段第二阶段主机层面接入层面传输层面网络边界广深内外应用URL信誉分类黑名单邮件文件DNS监视到每一个端口每一个主机监视到每一此访问每一个数据包情景感知异常流量分析StealthWatch网络准入ISE邮件安全网关下一代防火墙Anyconnect信息采集AMP恶意软件检测安全能力内网安全可视化建设互联网威胁情报建设了解主机所有的属性信息可视化建设第一阶段-思科如何帮助客户实现安全可视化能力-层级分析、重点研究2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
Allrightsreserved.
CiscoConfidentialCiscoAnyConnect思科安全能力之终端合规、进程流量可视化、客户端信息收集-Anyconnect统一终端软件终端合规与思科其他解决方案集成IdentityServicesEngine(ISE)ASR/CSRSwitchesandWirelessControllersCloudWebSecurityServices(CWS+WSA)ISRAdaptiveSecurityAppliance(ASA)VPNNetFlowCollectorsAdvancedMalwareProtectionUmbrellaServices网络可视化恶意软件检测云Web过滤网络接入准入云DNS保护客户端信息采集2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之EDR-AMP高级恶意软件防御-未知及已知病毒捕捉,零天病毒检测利器,勒索病毒防御Talos威胁情报45%的检测在我们检测到时,Virustotal还有没检测到进程行为分析及异常行为IOC集成沙箱功能–AMPThreatGrid19%的TG检测在我们检测到时,Virustotal还有没检测到低流行率可执行文件的自动分析10%转化为恶意软件漏洞软件分析检测技术与AV引擎结合下一代防病毒技术2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之IAM/NAC-网络接入情景感知可视及控制ISE策略平台ISE策略平台PLCADSAP你想要访问的资源TabletLaptopHMI你是个什么设备Mitsue(sales)Shree(IT)Santoso(Operator)你的身份JapanIndiaBuildingA从哪里接入19:3016:0016:00什么时间接入VPNWiFiWired连接网络的方式互联网881518815188151网络设备策略执行身份位置时间接入方式终端类型是否感染是否合规188152017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之NTA-Stealthwatch利用网络的力量达到最大安全覆盖-流量分析技术发现网内未知隐患内部威胁缺乏发现取证手段未知威胁行为IOC突破特征技术限制异常活动机器学习自动发现隐患黑盒子网络掌握每一次网络访问收集流量自动学习流量匹配异常行为IOC捕捉内部威胁交换机与路由器、防火墙:产生Netflow、sFlow、Netstream、IPFix等网络安全网络安全合规、安全审计、异常主机发现、数据窃取发现、蠕虫传播NaaSStealthwatch异常流量分析系统:收集Flow,分析流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力之DPI-Firepower下一代防火墙/下一代入侵检测入侵文件网址应用IP源/目的IP源/目的端口协议安全域身份设备信息用户信息操作系统网内位置国家区域域名域名分类域名域名信誉DNS威胁情报网址分类网址信誉网址威胁情报应用分类应用信誉业务相关性SHA文件尺寸文件样本网址应用文件是否染毒文件轨迹客户端应用危险级别微软漏洞文件属性Snort规则平台相关分类入侵方式分类>35K规则Firepower漏洞列表定制规则IP威胁情报拦截警告日志加速允许限速属性2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential250+全职威胁情报研究员百万级遥感终端4全球数据中心1100威胁陷阱100+威胁情报合作伙伴思科威胁情报150万每天恶意软件样本6000亿每天电子邮件消息160亿次每天Web请求全球蜜罐网网络开源社区SpamcopOpenDNSSenderbase漏洞挖掘(内部)34亿恶意软件遥感数据ThreatGrid沙箱社区情报共享AspisCreteAEGIS第三方共享(MAPP)ISACs思科安全能力之威胁情报-Talos威胁情报互联网的可视化2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential如何获得思科威胁情报安全能力Talos为所有的Cisco安全产品提供智能情报,为用户提供自动的防护NetworkEndpointCloudFirePower/ASASnortsubscriptionrulesetNGFWNGIPSMerakiAMPforNetworksAMPforEndpointsAMPforGatewaysCloudEmailSecurityCloudWebSecurityWebSecurityApplianceEmailSecurityApplianceCiscoUmbrella2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科安全能力通过产品协作提供丰富数据及检测分析一支训练有素的顶级球队Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统未知威胁防御ESA邮件安全网关ISE网络准入解决方案终端信息采集终端合规信息Anyconnect统一客户端2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential可视化建设第二阶段-当我们拥有了安全数据,我们如何使用他们-借助思科解决方案实现态势感知建设FWIPSNTADPIEDRVulnerabilityContextDataPostureDataStoreDataSourceAPIeStreamerSyslogODBCEventCollectionTechnologyThreatIntelLogDataAnalysisDataCollectionDataAnalysisIAMVPNNACMalwareFileAPPOSServiceIP-TupleUserDomainNameURLIntrusionTopLevelAnalysisUseCaseCategoryPriorityCorrelationMeasureDataExpressionDashboardReportThreatResearcherSOCAnalystThreatHunterAlertSearchCasePanelDataPortalIncidentResponseSecuritySituationAwarenessDataOperationForensicsAnalysisSecurityAuditConsumerEmailSPAM安全运营与分析平台架构SandboxShortterm-datalakeLongterm-datalake展现安全态势快速响应及处置解析安全事件数据解析监听裸数据萃取元数据收取分析日志自动化事件梳理2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全可视化态势展现安全分析员–针对事件标识和响应的调查窗口技术经理–重点突出风险和事件状态的运营仪表盘安全运营官–基于合规的报告CIO–风险状态和安全趋势的概况安全审计–审计需要的安全指标建设安全态势感知常见痛点-缺乏优先级"告警疲劳什么是告警疲劳"缺乏需要的数据源"对不起,我们没有能力检测到这种信息.
.
.
"缺乏数据的理解"这个数据到底表示什么含义"缺乏检测和响应的关联"我们发现它们了,下面呢"2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件那么多,请告诉我们哪些需要处理-安全事件优先级评定单一事件SLE评分系统风险值=R(A,T,V)脆弱性资产威胁处置SLERO定量+定性综合评定是不是这些事件我们都需要处理我需要告诉你我们没有那么安全技术人员请不要告诉我,让我来说我们需要看哪些事件如何评价我们现在的安全状态2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件降噪举例-思科Firepower入侵事件降噪及安全风险度量脆弱性威胁Priority高中低HostProfileImpactLevel01234ServiceOSVulnerabilityMatchSignature资产ValueRanking10203040Reference2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential通过持续的安全事件建设完成态势感知系统的进化ObjectiveThreatStakeholdersDataReqs.
LogicTestingPriorityOutput"Failuretoprepareispreparingtofail"BenjaminFranklin处置流程的目的和目标需要标识的威胁与处置流程相关责任人检测信息源.
日志、数据包、主机配置等.
处理数据和标识威胁所需要规则及条件确认风险的校验方法逻辑基于影响和紧急状况来分类和归类不同级别的威胁响应威胁的工作流及报表、仪表盘Source:SANS-用来标识出组织和技术的要求,针对特定威胁如何进行检测和响应-安全态势感知针对特定条件标识出的安全事件安全事例框架2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例Use-Case设计模板UseCaseIDThreat-001Objective保护服务器免受外来侵入Threat检测到针对服务器的暴力破解行为ThreatCategory异常访问/账号安全/RECONStakholdersSec管理部门,Server管理部门,APP业务部门DataReqs.
Firepower-EstreamerDataLogics在Firepower开启针对SSH/FTP/HTTPBruteForce特征规则PriorityMiddleOutput服务器安全告警、事件调查仪表盘Response设定阈值自动拦截,报知业务部门提醒业务部门,重新审视业务需求,关闭不必要的管理端口,必要时将攻击源加入黑名单.
2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential标识安全事例Use-Case备选项ThreatOrientedControlOrientedUseriskandthreatassessmentresultsIndustryReportsStrategicthreatintelligenceresourcesRedteamexercisesCorporatePoliciesRegulatory&ComplianceAttackChainModelmaptocapabilitiesCandidateVector2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialTARGETBREACHCOMPROMISEDNSDNS-LayerSecurityWebSecurityEmailSecurityIPSDeliverHostAnti-MalwareINSTALLIPSFWNetworkAnti-MalwareEXPLOITDNSDNS-LayerSecurityWebSecurityIPSCommandIPSFWRECONFlowAnalyticsActThreatIntelligenceWeaptonize针对CyberKillChain建设安全能力FileTrajectoryATTACKERINFRASTRUCTUREUSEDBYATTACKERFILES/PAYLOADSUSEDBYATTACKERSource:Gartner(2016)45586UseCaseCapability2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential事件调查及关联分析数据展示DeliverINSTALLEXPLOITCommandRECONActWeaptonize位置身份安全态势分析行为态势分析行为审计日志安全事件情景信息资产属性身份关联攻击链映射事件出发情景信息展现2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例管理框架按照需求方要求收集需求填写Use-Case模板标识可用的及可实现的内容标识备选UseCase实现后重新审视环境变化后重新审视UseCases命中后定期重审定期刷新情景数据重审UseCase按照重要性按照可行性建立UseCases优先级列表备案不可实现的UseCasesUseCase优先级评定复查和优化描述与需求确认实现需求的安全能力决定需求的数据源决定满足需求的情景数据标识新的或者被影响的流程以及运营方案开发、测试和提交内容至产品UseCase实现方针修改内容修改事件修改记录添加或修改情景数据修改输出内容(Output)修改运营流程优化UseCase与Owner或者提交需求方确认更新文档通知相关责任人删除内容更新废除UseCases列表废除UseCase收集独立UseCase指标收集UseCase管理指标提供反馈给战略与计划开发衡量流程性能Source:Gartner(2018)开始2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential安全事例UseCase分类汇总ThreatKillChain威胁类型场景分类RECONWeaptonizeDeliverExploitInstallCommandActOther异常访问账号安全1高危访问4安全合规2入侵事件高频事件5新发事件1网络流量资源滥用1异常流量112蠕虫传播1恶意软件异常行为21高危感染2病毒爆发1威胁情报恶意攻击1远程控制3恶意软件分发22017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential1小时内100次重复单一事件攻击-Firepower单一源IP持续入侵攻击行为-Firepower某服务器被持续攻击-Firepower高风险值的攻击行为-Firepower未被阻止的高风险入侵事件-Firepower30天内出现的新型入侵事件-Firepower举例-风险分类:入侵事件实现内容:接收来自Firepower入侵检测/入侵防御系统产生的日志.
规格化所有来自这些设备的日志.
关联分析所有防火墙和入侵检测/入侵防御系统的事件,产生调查分析报表和告警UseCase事例2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential高带宽占用客户端-Stealthwatch单一主机外发大量邮件-Stealthwatch源主机发送大量异常流量(Scan/Flood)-Stealthwatch源主机通过SMB访问互联网行为-Stealthwatch服务器受到DDOS攻击-Stealthwatch主机发生蠕虫传播行为-Stealthwatch实现内容:通过Netflow和端口镜像,收集网络所有的流量数据.
自动学习流量,分析报警异常流量UseCase示例:举例-风险分类:网络流量2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科提供更加开放的接口帮助客户实现定制化需求Firepower下一代防火墙ThreatGrid沙盒文件分析系统AMP高级恶意软件防御Stealthwatch异常流量分析系统ESA邮件安全网关ISE网络准入解决方案Anyconnect统一客户端ODBCRestfulAPIHostInputAPIEstreamerAPISouthboundAPIRestfulAPISDKERSAPIPxGridPassive-IDRestfulAPIRestfulAPIRestfulAPI2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidential思科态势感知平台技术实现方式异常流量分析系统网络准入系统下一代防火墙文件沙箱系统恶意软件防御安全能力层数据采集处理安全运营分析安全事件响应威胁情报监控网络安全分析日志关联分析安全态势感知事件监控中心SOAPA安全报告安全知识培训用户行为审计威胁情报监控-威胁研究和建模-恶意软件分析-沟通和协调-报告和简报安全事件响应-网络安全监控-网络安全调查和升级报告-网络威胁搜索-网络安全事故补救-事后分析网络安全分析-安全数据管理-安全分析-事件分类-事件定级2017Ciscoand/oritsaffiliates.
Allrightsreserved.
CiscoConfidentialThreatswillincrease.
Volumeandsophistication.
威胁与日俱增更多种类更加复杂欢迎选择思科帮你完成可视化建设希望有机会分享我们的经验
41云,服务器8折优惠券,200G TCP防御
41云怎么样?41云是国人主机品牌,目前经营产品有国内外云服务器、CDN(高防CDN)和物理机,其中国内外云服务器又细分小类有香港限流量VPS、香港大带宽VPS、香港弹性自选VPS、香港不限流VPS、香港BGP线路VPS、香港Cera+大带宽机器、美国超防VPS、韩国原生VPS、仁川原生VPS、日本CN2 VPS、枣庄高防VPS和金华高防VPS;物理机有美国Cera服务器、香港单程CN2服务器、香...
BlueHost 周年庆典 - 美国/香港虚拟主机 美国SSD VPS低至月32元
我们对于BlueHost主机商还是比较熟悉的,早年我们还是全民使用虚拟主机的时候,大部分的外贸主机都会用到BlueHost无限虚拟主机方案,那时候他们商家只有一款虚拟主机方案。目前,商家国际款和国内款是有差异营销的,BlueHost国内有提供香港、美国、印度和欧洲机房。包括有提供虚拟主机、VPS和独立服务器。现在,BlueHost 商家周年活动,全场五折优惠。我们看看这次的活动有哪些值得选择的。 ...
六一云互联(41元)美国(24元)/香港/湖北/免费CDN/免费VPS
六一云互联六一云互联为西安六一网络科技有限公司的旗下产品。是一个正规持有IDC/ISP/CDN的国内公司,成立于2018年,主要销售海外高防高速大带宽云服务器/CDN,并以高质量.稳定性.售后相应快.支持退款等特点受很多用户的支持!近期公司也推出了很多给力的抽奖和折扣活动如:新用户免费抽奖,最大可获得500元,湖北新购六折续费八折折上折,全场八折等等最新活动:1.湖北100G高防:新购六折续费八折...
域名的分类为你推荐
-
域名代理域名在万网买好还是在它的代理商那里买美国vps租用如何选择国外vps服务器?网站空间域名什么是网站域名和网站空间网站空间域名网站制作 域名和空间虚拟空间哪个好国内哪个空间商(虚拟主机)最好网站空间购买购买网站空间需要注意什么网站空间价格1M网站空间是多少钱100m虚拟主机100M的虚拟主机都能做些什么万网虚拟主机万网云虚拟主机怎么用,如何配置双线虚拟主机双线虚拟主机是智能的吗